UNSERE BERATUNGSFELDER

Penetration Testing

Die Herausforderung

Penetrationstests (oder Pentests) dienen dazu Schwachstellen in den Applikationen, Systemen und Netzwerken Ihres Unternehmens aufzudecken. Sie helfen Ihnen einen Eindruck über die Sicherheit ihrer Infrastruktur zu bekommen und sich somit effektiv und auch proaktiv vor Angreifern/ Hackern zu schützen.

Die Tiefe und Breite eines Pentests ist variabel an Ihren individuellen Bedürfnissen anpassbar. Gerne beraten wir Sie bei der Analyse Ihrer Situation, der Anforderungserhebung sowie bei der Planung maßgeschneiderter Penetrationtests. Die Durchführung der Pentests wird von unseren erfahrenen Beratern vor Ort oder Remote koordiniert und übernommen.

Nach jedem Pentest erhalten Sie einen umfassenden Bericht bestehend aus einer Executive Summary und einem Technical Report in Deutsch oder Englisch. Die ermittelten Ergebnisse werden von uns im Hinblick auf Kritikalität und Eintrittsrisiko bewertet sowie entsprechende Maßnahmenempfehlungen gegeben.

Auf Wunsch besprechen wir alle Findings und empfohlene Maßnahmen mit den Applikationsverantwortlichen und unterstützen Sie bei der Behebung. Nach der Behebung empfehlen wir immer einen Retest durchzuführen.

Unten erhalten Sie einen groben Überblick über die verschiedenen Arten der Penetrationstests, die wir anbieten. Die unterschiedlichen Ansätze haben Überschneidungspunkte und sind frei wähl- und kombinierbar. Wir helfen Ihnen gerne dabei, den passenden Umfang der Penetrationstests für Ihr Unternehmen zu bestimmen.

Penetration Test auf Applikationsebene

Bei diesem Penetrationstest werden ihre Webapplikationen einer umfassenden Prüfung unterzogen, die die Empfindlichkeit gegenüber Angriffen feststellen soll. Bei einem Pentest nutzen unsere Spezialisten gleiche Methoden und Techniken, die von echten Angreifern oder Hackern verwendet werden. Eine solche Simulation eines Realangriffs kann die Sicherheit Ihres Unternehmens effektiv prüfen.

Basierend auf OWASP Top 10 testen wir auf:

  • Injection-Schwachstellen (z.B. SQL-Injection, Command-Injection, LDAP-Injection, etc.)
  • Authentifizierung, Session Management
  • Autorisierung, Unsichere direkte Objekt-Referenzen
  • Verlust der Vertraulichkeit sensitiver Daten
  • Einsatz von Komponenten mit bekannten Schwachstellen
  • Fehlkonfiguration eingesetzter Komponenten
  • Cross-Site-Scripting-Schwachstellen (XSS)
  • XML External Entities (XXE)
  • Cross-Site-Request-Forgery (CSRF)
  • Server-Side-Request-Forgery (SSRF)
  • Unsichere Deserialisierung
  • Unzureichendes Logging und Monitoring
  • Nicht validierte Redirects und Forwards

Penetration Testing auf Systemebene

Während beim Applikationspentest die Anwendung im Mittelpunkt steht, wird beim Systempentest die System-Seite betrachtet. Beispiele hierfür sind: der Webserver, die Netzwerkkomponenten sowie sonstige serverseitig installierte Programme und Dienste. Das Ziel hierbei ist unter anderem die Überprüfung der Middleware-Konfiguration, die Identifikation offener Ports oder das Herausfinden von Konfigurationsfehlern. Dadurch können Schwachstellen identifiziert werden, die ein unautorisiertes Eindringen, Datendiebstahl oder Manipulation ermöglichen würden.

Code Review

Code Lücken können je nach Software und Programmiersprache zu ernsthaften Problemen führen. Wir unterstützen Sie durch gezielte Source Code Audits Ihrer Applikationen die Schwachstellen aufzudecken, bevor es die Angreifer machen.

Von uns unterstützte Programmiersprachen:

  • Java
  • Php
  • Python
  • Perl
  • Ruby

Jetzt Kontakt aufnehmen:

MartinAhl200x200

Ihr Projekt-Ansprechpartner

Martin Ahl
Geschäftsführer| Senior Business Lead

+49.030.5559.3074

martin.ahl@fourenergy.de